AboutDockerProfessional illustrations
Docker Pull 指令完全指南
好啦,各位開發者同 DevOps 嘅朋友,今次我哋就深入淺出,傾下 Docker Pull 指令完全指南。喺 2026 年嘅今日,Docker 依然係容器技術嘅核心,而 docker pull 呢個 拉取命令 就係你同 Docker Hub 或者其他 Container Registry 打交道嘅第一步。簡單嚟講,docker pull 嘅工作就係從遠端嘅 倉庫 下載 Docker Image 到你嘅本地電腦,等你之後可以用 docker run 去 運行鏡像。呢個過程聽落簡單,但入面有唔少細節同技巧可以令你工作得更順暢。
首先,我哋要搞清楚 命令語法 係點樣。最基本嘅格式就係「docker pull [OPTIONS] NAME[:TAG|@DIGEST]」。個 NAME 通常包含咗倉庫地址、倉庫名同鏡像名。如果你唔指定 標籤,佢預設就會拉取「latest」呢個標籤,但係要小心,「latest」未必真係最新或者最穩定,所以最好明確指定版本,例如「ubuntu:22.04」或者「nginx:1.25-alpine」。點樣知道有咩 標籤 可以用?你可以直接上 Docker Hub 網頁睇,或者用 docker search 指令喺 command line 度搜尋。拉取完之後,用 docker images 指令就可以列出所有本地嘅鏡像,確認佢哋已經成功下載咗。
講到拉取來源,預設當然係去 Docker Hub 呢個官方嘅公共 Registry 度搵 官方鏡像。但係現實工作中,我哋好多時會用公司內部嘅私有倉庫,又或者係其他雲服務商提供嘅倉庫。咁樣拉取嘅時候,你就要寫清楚成個倉庫地址,例如「myregistry.example.com/myteam/myapp:v1.0」。呢個過程其實係個 HTTP Service,Docker Daemon 會同遠端嘅倉庫服務溝通,然後逐層下載鏡像所需嘅 分層存儲 層。呢種分層設計好處係,如果唔同鏡像共享同一層,咁就只需要下載一次,慳返唔少時間同空間。
不過,如果你喺香港或者內地工作,直接拉取 Docker Hub 嘅官方鏡像,有時可能會覺得慢到想喊。呢個時候,鏡像加速器 就係你嘅救星啦!喺 2026 年,配置加速器已經好成熟。你可以修改 daemon.json 呢個配置文件,加入國內或者亞太區嘅加速器鏡像地址。例如,你可以設定多個 registry-mirrors,等 Docker Engine 會優先從呢啲快嘅站點拉取鏡像,真係快到飛起。尤其係當你要拉取一個好大嘅鏡像,例如包含完整 Ubuntu 桌面環境或者某啲 AI 框架嘅鏡像,用咗加速器同無用,個體驗真係差天共地。
拉取完鏡像之後,自然係要運行啦。用 docker run 指令就可以將一個 Docker Image 變成一個運行中嘅 Docker Container。例如,你拉取咗個「hello-world」鏡像,只要打「docker run hello-world」,就會觸發一個短暫嘅 容器 執行,喺 container terminal 度輸出問候訊息,然後容器就會停止。如果你想進行 交互式操作,例如拉取一個 Ubuntu 鏡像然後入去行下 bash 命令,你就可以用「docker run -it ubuntu bash」呢個命令,咁你就會進入到一個全新嘅、隔離嘅系統環境入面,可以任意測試同安裝軟件,而唔會搞亂你本身部主機。
最後,管理本地鏡像都好重要。除咗 docker images 睇清單,你仲可以用 docker ps -a 睇下所有(包括已停止嘅)容器。當你拉取咗太多鏡像,佔用太多磁碟空間嘅時候,就要識得清理。Docker 使用 overlay2 呢類存儲驅動程式去管理鏡像層同容器層,雖然高效,但都要定期清理無用嘅鏡像同容器。另外,如果你係進階用戶,你可能會想了解點樣用「docker pull」拉取特定嘅鏡像摘要,而唔係標籤,咁樣可以確保你每次拉取到嘅都係完全相同、一字不差嘅鏡像內容,對於追求絕對一致嘅生產環境嚟講,呢個做法更加安全可靠。總之,熟練掌握 docker pull 同相關嘅 鏡像拉取 管理,係你玩轉 Docker 世界嘅紮實第一步。
AboutDockerProfessional illustrations
拉取鏡像基礎步驟教學
好啦,各位想玩Docker嘅朋友,而家就同大家詳細拆解下「拉取鏡像」呢個最基礎但又最重要嘅步驟。所謂「拉取鏡像」,其實就係用 docker pull 呢個 拉取命令,從遠端嘅 Registry(最常用就係 Docker Hub)將你指定嘅 Docker Image 下載返嚟你部機嘅本地倉庫度。呢個過程就好似你用手機App Store下載App咁,不過今次係透過 command line 落指令。個 命令語法 好簡單,最基本就係「docker pull [選項] 倉庫名[:標籤]」。記住,如果你唔指定 標籤,佢預設就會拉取「latest」呢個標籤,但係為咗穩陣起見,我哋通常都係明確指定版本,例如「ubuntu:22.04」或者「nginx:1.25-alpine」,咁樣先可以確保唔會因為最新版有問題而影響到你嘅開發或者部署。
咁實際點操作呢?首先,你要確保你部機嘅 Docker Engine 已經正常運行緊,即係個 Docker Daemon 喺背景服務緊。之後,你打開你嘅 bash 終端機(或者叫 container terminal),就可以開始拉取。舉個最簡單嘅例子,你可以試下拉取個「hello-world」鏡像嚟測試下,命令就係「docker pull hello-world」。呢個鏡像好細,好快就完成,跟住你就可以用「docker run hello-world」去 運行鏡像,睇下個 Docker Container 可唔可以正常跑起嚟,出到句歡迎訊息,咁就證明你個環境冇問題啦。另一個實用例子,如果你想拉取一個 Ubuntu 系統嘅鏡像嚟做基礎環境,你就可以打「docker pull ubuntu:24.04」。呢個時候,Docker Daemon 就會去 Docker Hub 嘅官方倉庫,將呢個鏡像一層層咁 下載 落嚟。冇錯,Docker鏡像係用 分層存儲 嘅方式,每一層代表一個文件系統變更,咁樣設計可以令到不同鏡像之間共享相同嘅層,節省好多磁碟空間同下載時間。
講到下載速度,呢度就係好多香港用家會遇到嘅問題。因為預設嘅 Docker Hub 伺服器可能喺海外,image pull 速度有時會慢到令人冇耐性。咁點算呢?呢個時候就要設置 鏡像加速器 啦。對於國內同香港用家,好多時會用阿里雲或者騰訊雲提供嘅加速器地址。點樣設置?你需要修改 Docker Daemon 嘅配置文件,通常係「/etc/docker/daemon.json」呢個檔案(如果冇就自己創建一個)。入面你可以加入你嘅加速器地址,例如「"registry-mirrors": ["https://xxxxx.mirror.aliyuncs.com"]」,改完之後記得要重啟Docker服務(例如用「systemctl restart docker」)先會生效。設置好之後,你再做 鏡像拉取,速度就會有明顯提升,特別係拉取一啲大型鏡像,例如包含成個桌面環境或者全套開發工具嘅時候,真係會快好多。
拉取完之後,你點樣確認個鏡像已經喺你部機度呢?呢個時候就要用「docker images」呢個命令。佢會列出你所有 本地倉庫 入面嘅鏡像,顯示出倉庫名、標籤、鏡像ID、創建時間同大小。你可以睇到,你頭先拉返嚟嘅 Ubuntu 或者「hello-world」都喺度。如果你想搵吓Docker Hub上面有冇某個特定軟件嘅鏡像,你可以用「docker search」命令,例如「docker search apache」,佢就會列出所有同Apache相關嘅鏡像,不過通常我哋都係直接上Docker Hub網站睇,因為會有更詳細嘅說明同標籤列表。
最後要提多個實用概念,就係點樣拉取非官方或者自己私有倉庫嘅鏡像。如果你公司用緊私有的 Container Registry,或者你想拉取 CSDN 上某個開發者分享嘅鏡像,個 倉庫名 就要寫全個地址。例如,一個私有倉庫地址係「myregistry.com/myapp」,咁拉取命令就要寫成「docker pull myregistry.com/myapp:tag」。呢個時候,Docker就會去你指定嘅地址而唔係預設嘅Docker Hub度拉取。總而言之,docker pull 係一切容器操作嘅起點,熟練掌握佢嘅語法、選項同加速技巧,對於之後用 docker run 去創建同管理 容器,甚至係進行更複雜嘅 交互式操作 同編排,都係必不可少嘅基礎功夫。記住,每次拉取前諗清楚你要咩版本嘅鏡像,養成檢查標籤嘅習慣,咁就可以避免好多不必要嘅麻煩同兼容性問題。
AboutUbuntuProfessional illustrations
指定標籤版本點樣拉?
好啦,而家就講到最實際嘅操作:指定標籤版本點樣拉? 好多新手初初用 docker pull 嗰陣,就咁打個鏡像名就算,例如 docker pull ubuntu,但咁樣做其實有啲「撞手神」,因為佢會默認拉取標籤係 latest 嘅版本。喺2026年嘅今日,Docker 生態更加成熟,喺生產環境或者開發測試入面,指定標籤 係一個必須養成嘅好習慣,唔係嘅話你好容易會因為版本唔匹配而搞出大頭佛。
咁點樣先可以精準拉取你想要嘅版本呢?個 命令語法 其實好簡單,就係 docker pull <倉庫名>:<標籤>。我哋用返 Ubuntu 呢個 官方鏡像 做例子。如果你唔想用最新版,而係想用一個比較穩定、已知嘅版本,例如 Ubuntu 22.04,你就要喺 命令行 打 docker pull ubuntu:22.04。個 Docker Daemon 就會去 Docker Hub 呢個預設嘅 Container Registry 度,搵 ubuntu 呢個 倉庫 入面,標籤係 22.04 嘅 鏡像 檔案,然後開始 image download。同樣道理,如果你想拉一個好輕量嘅 Alpine 版本,命令就係 docker pull alpine:3.18。記住,個標籤唔一定係數字版本,可以係任何字串,好似 docker pull nginx:stable-perl 或者 docker pull httpd:2.4-alpine 咁,完全取決於維護者點樣設定。
講到標籤,你一定要識得去 Docker Hub 嘅網頁或者用 docker search 命令(雖然 search 功能比較基本)去睇吓有咩標籤可用。例如你想拉 Apache 嘅某個特定版本,最好上去望清楚佢提供嘅標籤列表,可能會有 2.4.58-bookworm、2.4-bullseye 呢類結合咗軟件版本同底層操作系統嘅標籤。呢個步驟可以避免你拉錯鏡像。拉取嘅過程你會見到終端機顯示鏡像嘅 分層存儲 結構,每一層都會獨立下載同驗證,如果本地已經有某啲共通層(例如兩個唔同標籤嘅 Ubuntu 鏡像共享基礎層),Docker Engine 就會聰明地重用,慳返時間同空間。
拉完之後,點確認自己拉啱嘢呢?跟住落嚟就用 docker images 呢個命令去列出所有本地嘅 Docker Image,你會清楚見到鏡像名、標籤、IMAGE ID 同創建時間。例如你打 docker images ubuntu,就會列出所有本地嘅 Ubuntu 系列鏡像,你可以核對標籤欄位係咪你想要嘅 22.04。之後你就可以用 docker run -it ubuntu:22.04 bash 去啟動一個 容器,進行 交互式操作,入到個 Container Terminal 度用 cat /etc/os-release 呢類命令去雙重確認系統版本。呢個「拉取 -> 檢查 -> 運行」嘅流程,對於確保環境一致性至關重要。
最後提多個實用技巧,就係點樣拉取私倉或者非官方倉庫嘅指定標籤。個格式都係大同小異,但就要包含完整嘅倉庫地址。例如你公司用緊一個內部 Registry,個地址係 myregistry.local:5000,咁你要拉取裡面一個叫 myapp、標籤為 v1.5.2 嘅鏡像,完整命令就係 docker pull myregistry.local:5000/myapp:v1.5.2。如果你喺內地或者覺得拉取官方 Docker Hub 鏡像太慢,記得要配置 鏡像加速器,修改 daemon.json 檔案,加入國內嘅鏡像站點地址,咁之後所有 拉取命令,包括指定標籤嘅操作,速度都會快好多。總而言之,養成每次 docker pull 都明確指定標籤嘅習慣,係管理 Docker Container 同確保應用穩定嘅第一步,千祈唔好偷懶就用 latest 呀。
About容器Professional illustrations
2026年最新常用選項解析
好啦,而家就同大家深入拆解下,去到2026年,docker pull 呢個基本指令入面,有啲乜嘢常用選項係你一定要識,同埋點樣用佢哋嚟提升你嘅工作效率同穩定性。首先,最基本嘅就係指定標籤。好多新手淨係識打 docker pull ubuntu,咁樣默認會拉取最新嘅 latest 標籤,但係喺生產環境,咁樣做其實好危險,因為你唔知拉返嚟嘅鏡像版本係乜。所以,2026年嘅最佳實踐一定係明確指定標籤,例如 docker pull ubuntu:22.04 或者 docker pull nginx:1.25-alpine,確保每次拉取嘅鏡像版本都係一致,減少意外。
跟住要講嘅係 --all-tags 呢個選項,佢真係一個慳時間神器。假設你想研究某個倉庫(例如官方嘅 httpd)入面有齊啲乜嘢版本,你唔使再上 Docker Hub 網站慢慢搵,直接喺 command line 打 docker pull --all-tags httpd,咁佢就會幫你將所有標籤嘅鏡像一次過拉取落嚟你嘅本地倉庫。雖然呢個過程會用多啲網絡同儲存空間,但對於需要建立離線鏡像庫或者做全面測試嘅團隊嚟講,係非常徹底嘅做法。
另一個2026年依然好關鍵嘅選項就係 --platform。隨住 ARM 架構(例如 Apple Silicon Mac 或者雲端嘅 ARM 實例)越嚟越普及,跨平台構建同運行容器變成常態。如果你用緊 M3 MacBook,但係想拉取一個可以喺公司 Linux 伺服器(x86_64)上面行嘅鏡像,你就要明確指定平台,例如 docker pull --platform linux/amd64 ubuntu:22.04。咁樣可以避免拉錯架構嘅鏡像,導致喺目標機器度行唔到,慳返好多排查嘅時間。
講到穩定性同速度,就不得不提鏡像加速器嘅配置同使用。喺內地或者香港某啲網絡環境下,直接從 Docker Hub 拉取官方鏡像可能慢到喊。2026年嘅做法通常唔係喺每次 pull 命令度加參數,而係直接配置 Docker Daemon 嘅 daemon.json 文件,加入國內主流雲廠商或者自己搭建嘅私有 Registry 加速地址。配置好之後,你之後所有嘅 docker pull 命令都會自動經加速器,下載速度會有明顯提升,尤其係拉取一些大型鏡像,例如包含完整 GUI 或者深度學習框架嘅鏡像時,分別會好大。
仲有一個好實用嘅選項係 --quiet 或者 -q。當你寫緊一些自動化腳本,例如用 bash 寫部署腳本時,你未必想見到 docker pull 命令輸出嗰一大堆下載進度同細節資訊。加上 -q 選項之後,命令就會變得靜默,只會喺成功拉取鏡像後返回鏡像 ID,咁樣可以令你嘅腳本輸出更加簡潔,更容易捕捉到關鍵資訊或者錯誤。
最後想提下,同 docker pull 密切相關嘅後續操作。你拉取鏡像返嚟,梗係要用㗎啦。通常緊接住嘅命令就係 docker run 去運行鏡像,創建同啟動一個Docker Container。你可以用 -it 選項進行交互式操作,好似行入個 container terminal 咁樣;又或者用 -d 選項讓佢喺後台運行,好似運行一個 Apache 或者 HTTP Service 咁。記住,每次 docker run 其實都係從你拉取返嚟嘅那個鏡像,創建出一個新嘅、可寫寫嘅容器層,底層嘅鏡像文件係透過 overlay2 呢類儲存驅動程式以分層存儲嘅方式共享,所以先可以咁慳空間同快速啟動。
總而言之,熟練運用 docker pull 嘅各種選項,唔單止可以幫你精準控制拉取行為,更能融入你嘅 CI/CD 流程同日常開發習慣,令你管理 Docker Image 同 Docker Container 更加得心應手。無論你係想睇哂所有版本、指定硬件平台、定係追求極速下載,2026年嘅 Docker Engine 都已經提供咗相應嘅成熟方案等你嚟用。
About鏡像Professional illustrations
點樣驗證鏡像拉取成功?
好啦,拉完個 鏡像,例如係 Docker Hub 上面嘅 Ubuntu 官方鏡像,點樣知佢真係成功落咗嚟,而唔係出咗啲古靈精怪嘅錯誤呢?作為用家,我哋有幾招非常實際嘅方法去 驗證鏡像拉取成功,唔使靠估。
最直接嗰招,梗係用 docker images 呢個 命令語法 啦。你喺 command line 打呢句 bash 指令,佢就會列出你 本地倉庫 入面所有已經 下載 好嘅 Docker Image。個列表會清楚顯示到 倉庫名(例如 ubuntu)、標籤(例如 latest 或 22.04)、Image ID、同埋創建時間同大小。如果你見到你頭先 pull 嘅鏡像名同 標籤 都喺度,咁就第一步確認成功。例如你 拉取命令 係「docker pull ubuntu:22.04」,咁你喺 list 度就應該搵到佢。呢個方法可以即刻幫你排除最常見嘅問題,例如網絡斷線或者打錯 倉庫名,因為如果 pull 失敗,呢度係唔會出現嘅。
不過,齋睇到個名喺 list 度,有時都未必夠穩陣。因為個鏡像檔案可能喺 下載 過程中有損壞,又或者係個 鏡像 根本唔完整。所以,更進一步嘅驗證方法,就係實際 運行鏡像 一次。用 docker run 指令去啟動一個極之簡單嘅 容器 來測試。經典例子就係用「docker run --rm hello-world」呢個細細嘅測試鏡像。如果個 hello-world 鏡像係新 pull 落嚟嘅,而佢能夠成功運行,並且喺 container terminal 度印出「Hello from Docker!」之類嘅歡迎信息,然後個 容器 自己識得退出,咁就證明唔單止個鏡像檔案完整,連背後嘅 Docker Engine 同 Docker Daemon 運作都正常。對於好似 Apache 呢類服務鏡像,你可以試吓用「docker run -d --name test-web httpd」去後台運行,然後用「docker ps」睇吓個 容器 有冇喺運行中嘅列表度,再用「docker logs test-web」睇吓有冇服務啟動嘅 log,咁就非常之實在啦。
對於進階少少嘅用家,想再挖深一層去驗證,可以檢查 Docker 嘅底層儲存。Docker 用 分層存儲 嘅方式來管理鏡像,通常用 overlay2 呢類驅動程式。你可以去 Docker 嘅數據目錄(通常係 /var/lib/docker)下嘅 image/overlay2 資料夾度睇吓(呢個動作需要管理員權限)。成功 拉取 嘅鏡像,會喺度有對應嘅目錄同埋一堆分層檔案。另外,用「docker image inspect <鏡像名或ID>」呢個指令,可以爆出個鏡像嘅詳細 JSON 配置信息,包括佢嘅分層 ID、創建歷史、環境變數等等。如果呢個指令能夠順利執行並返回一大段完整信息,而唔係報錯話搵唔到鏡像,咁就係一個極之技術性嘅成功確認。
最後,都要提提日常可能會遇到嘅小陷阱。有時你以為 pull 唔到,其實可能係因為網絡連去 Docker Hub 呢類 Container Registry 太慢或者被阻,令到 鏡像拉取 過程卡住咗。喺 2026 年嘅今日,國內同香港都好流行用 鏡像加速器,通過修改 daemon.json 檔案去配置一個更穩定快速嘅 Registry 來源。如果你配置咗 加速器 但係拉取時出錯,有可能係加速器地址問題,呢個時候驗證方法可以係暫時停用加速器,直接拉取一個細鏡像(如 hello-world)來測試基本網絡連通性。總而言之,驗證唔係單一步驟,而係一個從「見到名單」->「成功運行」->「檢查細節」嘅過程,確保你拉返嚟嘅 鏡像 係百分百可用的,之後先至好用喺正式環境度進行 交互式操作 或者部署服務。
AboutContainerProfessional illustrations
加速下載嘅實用技巧
講到加速下載嘅實用技巧,對於成日要用 docker pull 嘅朋友嚟講,真係可以慳返唔少時間同頻寬。首先,你一定要識得設定 鏡像加速器,呢個係最直接有效嘅方法。喺香港,直接連去 Docker Hub 呢類海外 Registry 有時會好慢,特別係拉取一啲大型嘅 官方鏡像,好似 Ubuntu 或者 Apache 呢啲,真係等到頸都長。解決方法就係修改 Docker Daemon 嘅設定檔,通常係個 daemon.json 檔案。你可以加入內地或者亞洲區嘅鏡像加速站地址,例如一啲雲服務商提供嘅免費加速服務。咁樣之後,每次你喺 command line 打 docker pull 指令,Docker Engine 就會自動經呢個加速站去拉取 鏡像,速度即刻快幾倍,尤其係下載嗰啲分層存儲好密嘅鏡像,效果更加明顯。
設定好咗加速器,仲有好多細節位可以再優化。例如,拉取鏡像嘅時候,最好指定明確嘅 標籤,而唔好就咁用最新版(latest)呢個標籤。因為如果你唔指定,Docker 會先檢查本地有冇叫做「最新」嘅鏡像,然後又要同 倉庫 入面嘅清單對比,其實會拖慢個流程。直接用 docker pull ubuntu:22.04 呢類具體版本嘅 拉取命令,反而更直接,有時仲可以避開一啲緩存問題,令下載更順暢。另外,定期清理本地嘅舊鏡像都好重要。用 docker images 命令睇下,會發現好多之前測試用落嘅 Docker Image,好似 hello-world 或者一啲中途建立失敗嘅半成品,佢哋都會佔用空間。用適當嘅清理命令刪除佢哋,唔單止可以釋放磁碟空間,有時仲可以避免 Docker Daemon 喺拉取新鏡像時,要花時間去管理一大堆無用嘅 本地倉庫 數據。
另一個進階技巧,就係理解 docker pull 背後嘅運作原理。當你下載一個 鏡像,唔係下載一個完整大檔案,而係下載多個「層」。每個 Docker Image 都係由多個只讀層組成,呢個就係所謂嘅 分層存儲 結構。如果你之前已經拉取過某個基礎鏡像,例如某個特定版本嘅 Ubuntu,當你再拉取另一個用同一個基礎層建立嘅鏡像時,Docker 就只會下載新嘅、獨有嘅嗰幾層,而唔係重新拉取全部。所以,規劃好你嘅鏡像,盡量重用相同嘅基礎層,本身就係一種無形嘅加速。你可以用 docker history 呢類命令去睇下一個鏡像係由邊幾層組成,對規劃自己建立鏡像好有幫助。
最後,網絡設定同 Docker Container 運行環境都有影響。如果你係喺公司或者數據中心內網使用,可以考慮自己搭建一個私有嘅 Registry,將常用嘅基礎鏡像,例如 Ubuntu、Alpine 或者一啲特定版本嘅 Apache 鏡像,先一次性拉取到呢個內網 倉庫。咁樣,內部嘅開發團隊或者 CI/CD 流程需要用到時,就直接從內網嘅 HTTP Service 拉取,速度就係本地網絡速度,快到你唔信。另外,確保你嘅 Docker Daemon 運行穩定,儲存驅動程式(例如 overlay2)有足夠空間,唔好因為磁碟爆滿而令到下載同解壓過程出錯,呢啲都係確保 鏡像拉取 過程暢順嘅基本功。總而言之,加速唔單止係加個網址咁簡單,由指令用法、本地環境管理到架構規劃,每一步做得好,都可以令你嘅 docker pull 體驗快人一步。
AboutDockerProfessional illustrations
私有倉庫拉取設定教學
好啦,講完公開嘅 Docker Hub 同埋鏡像加速器,係時候要深入吓點樣拉取私有倉庫嘅鏡像喇。喺實際工作環境,尤其係企業開發,好多自家開發嘅應用鏡像都唔會放上公共 Registry,而係放喺公司內部嘅私有倉庫。呢個時候,你用平時嗰句 docker pull ubuntu 係完全唔 work 嘅,因為 Docker Daemon 根本唔知去邊度搵同埋冇權限去拎。所以,今次呢個段落就係要教識你點樣設定同埋用 docker pull 命令去拉取私有倉庫嘅鏡像。
首先,你要搞清楚你公司或者你使用緊嘅私有倉庫係乜嘢類型。常見嘅有 Docker 官方提供嘅 Docker Registry(呢個係一個開源軟件,你可以自己部署)、Harbor、或者一啲雲服務商提供嘅容器 Registry 服務。無論係邊一種,拉取之前最重要嘅一步就係登入。呢個步驟就好似你入會所要有會員卡一樣,你要喺命令語法行用 docker login 命令去登入你嘅私有倉庫伺服器地址。例如,如果你公司嘅私有倉庫地址係 private-registry.example.com,你就要打 docker login private-registry.example.com,跟住輸入 username 同 password。成功登入後,Docker Engine 就會將你嘅認證資訊安全噉儲存起嚟,之後拉取鏡像就會自動用呢啲資料。
登入咗之後,拉取鏡像嘅命令語法同拉取公共鏡像差唔多,但關鍵在於要寫清楚完整嘅倉庫名。私有倉庫嘅鏡像全名,通常係由 倉庫伺服器地址/項目名/鏡像名:標籤 呢個格式組成。舉個實例,假如你公司倉庫地址係 myregistry.hk:5000,你個項目叫 myapp,個鏡像叫 backend,標籤係 v1.2,咁完整嘅鏡像名就係 myregistry.hk:5000/myapp/backend:v1.2。你要拉取佢,就要用 docker pull myregistry.hk:5000/myapp/backend:v1.2。記住,呢個完整路徑係缺一不可,如果漏咗地址,Docker 就會預設去 Docker Hub 度搵,緊係搵唔到啦。
有時你會遇到啲麻煩,尤其係當你公司嘅私有倉庫仲用緊 HTTP Service 而唔係 HTTPS(雖然唔建議,但內部測試環境有時會咁設定)。預設情況下,Docker Daemon 係唔信任 HTTP Registry 嘅,你一 pull 就會報錯。咁點算呢?你就要去修改 Docker Daemon 嘅設定檔,通常就係個 daemon.json 檔案(喺 Ubuntu 上通常喺 /etc/docker/ 下面)。你要喺入面加入你嘅私有倉庫地址到 insecure-registries 呢個陣列裏面。例如,你加返 "insecure-registries": ["myregistry.hk:5000"] 落去,然後重啟個 Docker 服務(例如用 systemctl restart docker),咁樣 Docker Engine 就會容許同呢個地址進行不安全嘅 HTTP 通訊,你之後就可以正常拉取鏡像喇。呢個步驟好關鍵,好多初學者都卡喺度,以為自己個 docker pull 命令打錯,其實係個 Daemon 設定未搞掂。
拉取成功之後,你可以用 docker images 命令去確認個鏡像已經喺你嘅本地倉庫裏面。你會見到佢個 REPOSITORY 名就係完整嘅倉庫路徑。之後你就可以照常噉用 docker run 去運行鏡像,創建出一個 Docker Container 嚟用。成個流程就係:設定 Daemon 信任倉庫(如需) -> 命令行登入 -> 用完整路徑拉取鏡像 -> 用 docker run 啟動容器。掌握咗呢套流程,你基本上就可以處理大部分私有倉庫嘅鏡像拉取工作,無論你係用緊 Apache 做反向代理嘅 Registry,定係其他複雜嘅企業級方案,核心步驟都係萬變不離其宗。記住,權限同地址係兩大關鍵,搞掂佢哋就冇難度。
AboutDockerProfessional illustrations
鏡像儲存位置大揭秘
好啦,講咗咁耐點樣用 docker pull 拉取鏡像,由 Docker Hub 拉官方 Ubuntu 定係自己公司嘅私有 Registry 都講過,係時候要深入啲,揭開個神秘面紗,睇下你拉返嚟嗰啲 Docker Image 究竟儲咗去邊度。好多新手用 docker images 睇到個列表,但係就唔知背後啲檔案實際放喺邊,點樣管理,甚至點樣清理。呢個知識對於管理磁碟空間同埋理解 Docker Engine 嘅運作原理,係非常重要㗎。
簡單嚟講,所有你透過 docker pull 拉取返嚟嘅鏡像,都會儲存在你本地機器上一個專屬嘅區域,呢個就係所謂嘅本地倉庫。個具體位置呢,就取決於你個 Docker Daemon 嘅設定。喺 Linux 系統(例如 Ubuntu)上面,最常見嘅預設儲存位置係 /var/lib/docker。呢個資料夾入面,就係 Docker 世界嘅核心,所有鏡像、容器、同埋相關嘅數據都喺度。你可以打開 terminal 用 bash 命令去探索下,例如 sudo ls -la /var/lib/docker,就會見到一堆子目錄,其中 image 同 containers 就係關鍵。
咁鏡像具體係點樣儲存呢?呢度就要講到 Docker 嘅分層存儲架構。每一個鏡像都唔係一個單一嘅大檔案,而係由一堆只讀嘅「層」疊加而成。當你 docker pull 一個鏡像時,Docker Daemon 會檢查你本地有冇呢啲層,如果冇就逐層下載。呢啲層就儲存在 /var/lib/docker/image/overlay2(如果使用 overlay2 儲存驅動程式嘅話)嘅目錄結構裏面。你可以理解為,每個鏡像層都有一個獨特嘅 ID,儲存喺度,當你要運行一個新容器時,Docker Engine 就會喺呢啲只讀層上面,再加一個可寫層,變成一個可以操作嘅環境。所以,當你拉取多個基於相同基礎層(例如都係 Alpine Linux)嘅鏡像時,其實基礎層只係儲存一次,非常節省空間。
想知確切嘅儲存位置同設定,其實可以查閱 Docker Daemon 嘅設定檔案。通常呢個檔案叫 daemon.json,位置可能喺 /etc/docker/ 下面。入面可以設定 data-root 呢個參數,佢就係指定所有 Docker 相關數據嘅根目錄。如果你覺得預設嘅 /var/lib/docker 磁碟空間唔夠,就可以喺呢度改去一個更大空間嘅硬碟位置。改完記住要重啟 Docker Daemon 先生效。另外,如果你有設定鏡像加速器,例如用國內嘅服務去加速拉取官方鏡像,呢啲設定亦都會喺 daemon.json 裏面以 registry-mirrors 嘅形式出現,但呢個係影響拉取來源,唔影響最終嘅本地儲存位置。
對於日常操作,有幾個好實用嘅 command line 命令幫你管理呢個「儲存倉庫」。最基本嘅當然係 docker images,佢會列出所有本地鏡像、佢哋嘅倉庫名、標籤、同埋佔用嘅虛擬大小。要留意嘅係,因為分層存儲嘅關係,唔同鏡像之間共享層,所以實際佔用嘅磁碟空間會比顯示嘅總和細。如果想深入知道每個鏡像實際用咗幾多磁碟空間,可以用 docker system df 呢個命令,佢會俾你一個更準確嘅空間使用報告。當你發現空間唔夠用,就可以用 docker image prune 嚟清理一啲冇被任何容器引用嘅「懸空」鏡像,又或者加 -a 參數連同所有冇被使用嘅鏡像都清理掉,呢個動作對於保持系統清爽好有用。
最後舉個具體例子,加深理解。當你第一次用 docker pull hello-world 拉取呢個測試鏡像,然後用 docker run hello-world 運行佢之後,你可以用 docker images 見到佢。跟住,你去到 /var/lib/docker/image/overlay2/imagedb/content/sha256 呢類目錄下(具體路徑可能因版本少少唔同),你會發現一堆以哈希值命名嘅檔案,呢啲就係鏡像層嘅定義同內容。雖然我哋唔建議直接喺呢度手動刪改檔案,但了解佢嘅結構,對於 troubleshooting,例如鏡像損壞或者空間異常爆滿,係有好大幫助㗎。記住,所有操作嘅根源,都係由你喺 container terminal 打嗰句 docker pull 開始,然後由 Docker Engine 默默幫你處理好儲存同管理嘅重任。
AboutDockerProfessional illustrations
安全拉取注意事項
講到用 docker pull 拉取鏡像,好多香港嘅開發者可能覺得好簡單,打個命令就得啦。但係喺2026年嘅今日,安全問題真係唔可以睇小,尤其係公司環境或者處理敏感數據嘅時候。一個唔小心,拉咗個有問題或者有惡意代碼嘅 Docker Image 返嚟,隨時搞到成個系統出事,甚至洩漏資料。所以,喺呢個段落我哋就深入傾下,點樣安全噉樣從 Docker Hub 或者其他 Registry 度 拉取鏡像。
首先,最基本亦都最重要嘅一點,就係要識得揀來源。Docker Hub 上面有海量嘅 鏡像,有官方出品,亦有社群分享。我哋嘅黃金法則係:優先使用官方鏡像。點解呢?因為好似 Ubuntu、Apache、hello-world 呢類官方維護嘅鏡像,通常有專門團隊做安全掃描同更新,可信度會高好多。當你喺 command line 打 docker search 搵鏡像嗰陣,要睇清楚個名同埋有冇 "OFFICIAL" 標籤。千祈唔好貪方便,隨便搵個倉庫名似係嗰樣就拉,好多時啲惡意鏡像就係靠個名似官方嚟魚目混珠。例如你需要一個 Python 鏡像,最好就直接用 docker pull python,而唔係去拉某個唔知邊個上傳嘅 python-ultimate 之類。
其次,一定要留意 標籤 嘅使用。好多新手習慣就咁打 docker pull nginx,呢個命令默認會拉取標籤為 "latest" 嘅最新版本。但係 "latest" 呢個標籤係流動嘅,今日同聽日拉嘅版本可能已經唔同,可能會引入唔穩定或者未經充分測試嘅代碼。為咗安全同穩定性,我哋強烈建議拉取鏡像嗰陣,明確指定版本標籤,例如 docker pull nginx:1.25-alpine。咁樣做可以確保你嘅開發、測試同生產環境都用緊同一個確定嘅版本,避免因為鏡像更新而導致意外。你可以先去 Docker Hub 嘅網頁版睇吓個鏡像有咩標籤可用,再決定用邊個穩定版本。
第三點,關於驗證鏡像嘅完整性同簽名。雖然呢個步驟對普通用家嚟講有啲進階,但對於安全要求高嘅環境係必須嘅。Docker Engine 本身支援內容信任功能,可以確保你拉取嘅鏡像係由可信嘅發佈者簽名,中途冇被人篡改過。你可以透過設定環境變數 DOCKER_CONTENT_TRUST=1 嚟啟用呢個功能,之後再用 docker pull,佢就會自動幫你驗證。如果個鏡像冇簽名或者簽名無效,就會拉取失敗。雖然呢個會令到拉取過程慢少少,但係為咗安全,絕對值得。
跟住要講嘅,就係點樣防範鏡像本身潛藏嘅漏洞。就算係官方鏡像,都唔代表百分百安全,可能入面某個軟件版本有已知漏洞。所以,養成習慣,定期用工具掃描你本地嘅 Docker Image。有好多工具可以整合到你嘅 CI/CD 流程度,自動掃描新拉返嚟嘅鏡像,列出已知嘅安全漏洞同建議修復方法。喺2026年,呢類工具已經好成熟同普及,唔好再靠估。
另外,網絡傳輸嘅安全都好關鍵。默認情況下,Docker Daemon 同 Registry 之間嘅通訊,如果係用官方 Docker Hub,通常都係行 HTTPS,比較安全。但係如果你哋公司係用自己搭建嘅私有 Registry,或者因為網絡問題要配置 鏡像加速器,就要特別小心。確保你配置嘅加速器地址或者私有 Registry 地址係使用 HTTPS 協議,而唔係明文嘅 HTTP Service。喺修改 daemon.json 檔案去配置加速器或者私有倉庫地址嗰陣,一定要檢查清楚個 URL 係以 https:// 開頭,避免中間人攻擊,令到你拉取嘅鏡像喺傳輸過程中被替換或注入惡意代碼。
最後,想提一提 運行鏡像 之前嘅心態。拉取返嚟嘅鏡像,唔好即刻就 docker run 落生產環境。最好先喺隔離嘅測試環境,用 docker run -it 進行 交互式操作,入去個 Container Terminal 用 bash 簡單睇睇,或者用 docker ps 睇下佢運行時會開咩端口,有咩環境變數。同時,要明白 Docker Image 採用 分層存儲 結構,你可以用 docker images 命令睇清楚佢嘅大小同層次,如果某個鏡像異常地大,或者來源不明,就要打醒十二分精神。總而言之,將 docker pull 呢個動作,當成係安裝軟件一樣謹慎,由來源、版本、傳輸到運行前檢查,每一步都多加留意,咁先可以確保你嘅 容器 應用有一個安全嘅基礎。
AboutRegistryProfessional illustrations
常見錯誤同解決方法
好啦,講咗咁多點樣用 docker pull 呢個 拉取命令,實戰落去梗係會撞板㗎啦。呢度就同大家拆解幾個最常見嘅錯誤訊息,同埋點樣拆彈。好多新手一開 container terminal 打 docker pull ubuntu 就彈句 "Error response from daemon: Get https://registry-1.docker.io/v2/: net/http: request canceled while waiting for connection",真係會嚇親。呢個九成九係網絡問題,可能係你公司 firewall 擋咗,或者係連去 Docker Hub 呢個預設 container registry 條路太慢甚至斷咗。最直接嘅方法,就係幫你部機嘅 Docker Daemon 設定一個 鏡像加速器。喺香港,你可以用吓內地或者台灣嘅加速站,速度會快好多。點設定?好簡單,喺 Ubuntu 上面,你編輯個 daemon.json 檔案(通常喺 /etc/docker/ 下面),加入你嘅加速器地址,跟住重啟個 Docker Engine 就得。搞掂之後再試多次 image pull,應該會順暢晒。
另一個常見情況係權限問題。如果你用 command line 打 docker pull nginx,但係彈出 "permission denied while trying to connect to the Docker daemon socket",即係話你而家個用戶無權同 Docker Daemon 溝通。通常解決方法有兩個:一係你每次打命令前面都加 sudo,即係 sudo docker pull nginx;不過咁樣好麻煩。更好嘅做法,係將你而家用緊嘅用戶加入 'docker' 呢個用戶組度,等佢有永久權限。做法係打 sudo usermod -aG docker $USER,然後登出再登入個 terminal 就得。記住,搞權限要小心,唔好亂咁加。
跟住講吓 鏡像 同 標籤 相關嘅錯誤。有時你心急,打 docker pull mysql 就算,無指定版本標籤,咁佢就會拉最新版 'latest'。但係如果你個應用要靠特定版本先穩定,咁就大鑊。又或者你打錯名,例如 docker pull ubunt(漏咗個 'u'),就會出 "Error: image library/ubunt not found"。Docker Hub 上面嘅 官方鏡像,通常個 倉庫名 格式係 [倉庫]/[鏡像名]:[標籤]。好似 ubuntu:22.04、nginx:alpine 咁。所以最好習慣指定清楚標籤,同埋用 docker search 命令先搜一搜個名啱唔啱。拉完之後,用 docker images 睇吓 本地倉庫 有咩 鏡像,確認版本無錯先好 docker run。
仲有種情況係空間不足。Docker Image 用 分層存儲,拉得多又唔清理,好易食爆你個硬碟。當你打 docker pull 時出 "no space left on device",就係警號啦。呢個時候你要清理一吓。可以用 docker image prune 嚟剷走啲無用嘅 鏡像,或者再進階啲,去檢查吓 Docker 用緊嘅儲存驅動(例如 overlay2)喺邊,清理入面嘅 cache。記得定期做吓呢個動作,尤其係你部機係做開發或者測試,成日拉唔同版本嘅 鏡像 嚟試。
最後提一提,有時你拉某啲特定嘅 鏡像,例如一啲需要額外設定嘅 HTTP Service 如 Apache 特定版本,或者喺 CSDN 睇到某個教程嘅自訂鏡像,可能會遇到驗證問題或者鏡像已經被刪除。錯誤訊息可能係 "manifest not found" 或者 "unauthorized"。呢個時候,你要確認個鏡像係咪仲存在於嗰個 Registry,同埋你有無拉取權限。如果係私人鏡像,你可能需要先做 docker login 登入。總之,見到錯誤唔使驚,通常個錯誤訊息都已經俾咗 hint 你,睇清楚係網絡、權限、定係個 鏡像 本身嘅問題,跟住上面嘅方法一步步排查,好快就可以順利 image download 落嚟,準備你嘅 容器 之旅。
AboutServiceProfessional illustrations
多平台鏡像點樣拉?
講到多平台鏡像點樣拉,呢個問題喺2026年嘅今日,對於用緊 Docker 嘅開發者嚟講真係好常見。所謂「多平台鏡像」,簡單啲講就係一個鏡像倉庫入面,包含咗唔同系統架構(例如 AMD64、ARM64)或者唔同操作系統(例如 Linux、Windows)嘅版本。當你喺 command line 打 docker pull ubuntu 嘅時候,點樣確保拉(pull)到嘅係啱你用緊嘅平台嘅鏡像呢?呢度就要講下 Docker Engine 背後嘅智能匹配機制同埋我哋可以點樣手動控制。
首先,你要知道 Docker Daemon 本身係有平台識別能力嘅。當你執行 docker pull 呢個拉取命令時,Docker Client 會同你部機運行緊嘅 Docker Engine 溝通,個 Engine 就會根據你當前系統嘅架構(比如話你用緊 M2 Mac 就係 ARM64,用緊普通 PC 就多數係 AMD64),自動去 Docker Hub 或者其他你設定咗嘅 Registry 度,搵番匹配嘅鏡像標籤(Tag)嚟下載。所以大多數情況下,你唔使特別做嘢,就咁 docker pull 倉庫名 就已經搞掂。例如 docker pull nginx,佢就會自動拉返個適合你 Linux 或 Windows 系統嘅最新版 nginx 鏡像落嚟。呢個過程涉及 image download 同 分層存儲,下載返嚟嘅每一層會用 overlay2 呢類存儲驅動程式管理好。
不過,自動匹配唔係萬能。有啲情況你可能需要指定拉取某個特定平台嘅鏡像。例如,你開發緊一個需要跨平台測試嘅 HTTP Service,用緊 Apache 做基礎,咁你就可能需要喺你部 AMD64 嘅開發機上,拉一個 ARM64 版本嘅鏡像嚟做驗證。喺2026年,Docker 嘅 CLI 已經有更完善嘅支援。你可以用 --platform 參數去明確指定。個命令語法會係好似 docker pull --platform linux/arm64 ubuntu:22.04 咁樣。咁樣 Docker Daemon 就會忽略本地平台,直接去拉指定架構嘅鏡像。拉完之後,你可以用 docker images 睇下個鏡像嘅平台資訊,確認係咪你想要嘅。
另外,一個好實際嘅應用就係構建多平台鏡像倉庫。有時你喺 Docker Hub 或者自己搭建嘅私有 Registry 上面,會見到一個鏡像標籤(例如 myapp:latest)背後,其實關聯住多個唔同平台嘅鏡像文件。當你 docker pull myapp:latest 時,Registry 會根據你嘅請求頭資訊,派發正確嘅版本。如果你想手動試下拉另一個平台嘅,就可能需要修改你嘅 daemon.json 設定檔,或者用一啲更進階嘅 container terminal 工具去模擬。不過對於一般使用者,最直接都係用上面提到嘅 --platform 參數。
講到拉鏡像,速度都係一個關鍵。尤其係拉取一啲大型嘅官方鏡像,或者係內地訪問 Docker Hub 呢類海外倉庫,可能會好慢。所以喺2026年,配置 鏡像加速器 已經係基本操作。你唔使再上 CSDN 四圍搵舊教程,而係應該去你使用緊嘅雲服務商或者內地鏡像服務提供方度,攞到最新嘅加速器地址。然後喺 Docker Daemon 嘅設定檔(通常就係 daemon.json)入面,加入 registry-mirrors 呢個配置項。重新啟動 Docker 服務之後,你再進行 鏡像拉取,速度就會有明顯改善。呢個加速器對於拉取任何標籤嘅鏡像,包括多平台嘅,都一樣有效,因為佢本質上係一個緩存代理。
最後,想同大家分享一個小技巧同實例。當你拉取一個多平台鏡像落嚟之後,點樣驗證同使用呢?你可以用 docker run --platform linux/arm64 -it ubuntu bash 呢個命令去嘗試以指定平台模式,運行一個 交互式操作 嘅 容器。如果個鏡像平台同你宿主機唔匹配,Docker 會嘗試透過內置嘅模擬器去運行(如果有的話),但效能就可能打折扣。所以,最好都係拉取同你生產環境一致嘅鏡像嚟做測試。記住,無論係拉簡單嘅 hello-world 定係複雜嘅應用堆疊,理解清楚 docker pull 呢個 拉取命令 背後點樣處理多平台鏡像,可以幫你避免好多跨平台部署時嘅古怪問題,令你管理 Docker Container 同 Docker Image 更加得心應手。
AboutApacheProfessional illustrations
Pull 同 Run 指令連動教學
好啦,講完點樣用 docker pull 拉取鏡像,好多朋友自然就會問:「拉咗個 Docker Image 落嚟之後,點樣用佢呢?」冇錯,呢個就係今次要講嘅重點:點樣將 Pull 同 Run 指令連動起嚟,一氣呵成咁將一個鏡像變成一個運行緊嘅容器。簡單嚟講,docker pull 係「攞貨」,而 docker run 先係真正「開工」。但係,其實 Docker Engine 好聰明,如果你直接打 docker run 指令去運行一個你本地冇嘅鏡像,佢會自動幫你做埋 docker pull 嘅動作,然後先至啟動容器。呢個雖然方便,但作為一個有要求嘅用家,我哋最好都係理解清楚背後嘅步驟同原理,咁先至可以更精準地控制你嘅容器環境。
首先,我哋要搞清楚指令嘅順序同邏輯。一般嘅完整流程係:1) 用 docker search 或者直接上 Docker Hub 呢類 Container Registry 搵你需要嘅鏡像,例如 Ubuntu、Apache 呢啲 HTTP Service;2) 用 docker pull 指令,指定倉庫名同標籤,將鏡像拉取到本地;3) 用 docker images 確認鏡像已經喺度;4) 最後先至用 docker run 呢個命令語法去創建並啟動一個 Docker Container。呢個步驟分開做,好處係你可以好清楚知道拉咗咩版本嘅鏡像落嚟,避免因為標籤唔明確(例如 latest 標籤突然更新)而導致運行環境不一致嘅問題。例如,你想運行一個特定版本嘅 Ubuntu,你可以先執行 docker pull ubuntu:20.04,確保拉取成功後,再執行 docker run -it ubuntu:20.04 /bin/bash 進入容器終端進行交互式操作。
當然,直接連動嘅做法就係跳過獨立 pull 嘅步驟。例如,你喺命令行直接輸入 docker run hello-world。如果你部機從來未拉取過 hello-world 呢個官方鏡像,Docker Daemon 就會自動去默認嘅 Registry(即係 Docker Hub)搵呢個鏡像,執行鏡像拉取,拉取完成後即刻創建容器、執行指令,然後容器退出。你喺終端機上會先見到「Unable to find image 'hello-world:latest' locally」呢句,跟住就係「latest: Pulling from library/hello-world」,證明佢自動做緊 image pull。呢種方式對於快速測試好方便,但對於生產環境或者需要嚴格控制版本嘅情況,就唔係咁推薦喇。
跟住落嚟,我哋深入少少講下 docker run 指令可以點樣同拉取返嚟嘅鏡像配合。當你執行 docker run,背後其實發生緊幾件大事:Docker Engine 會檢查你指定嘅鏡像(例如 nginx)喺唔喺本地倉庫;如果唔在,就去拉取;然後利用該鏡像嘅分層存儲結構,喺 overlay2 呢類存儲驅動上創建一個可寫層,形成一個運行時容器;最後,根據指令執行默認或指定嘅程序(例如啟動 Nginx 服務)。如果你想個容器保持運行並可以互動,就要加上 -it 參數嚟分配一個偽終端。例如,docker run -it --name my_ubuntu_container ubuntu /bin/bash,咁樣你就會進入一個全新嘅、基於剛拉取 Ubuntu 鏡像嘅 bash 環境入面,可以任意操作。
另外,有一點好重要嘅係點樣管理呢啲運行緊嘅容器。當你運行完容器後,可以用 docker ps 命令嚟查看目前運行緊嘅容器列表。如果你想睇晒所有(包括已停止嘅)容器,就要用 docker ps -a。呢個係日常管理必備嘅技巧,可以幫你清理一啲已經唔需要、但仲佔用緊空間嘅容器層。講到空間,如果你從 Docker Hub 拉取鏡像時覺得速度慢,特別係喺香港有時連去海外 Registry 唔係咁穩定,就可以考慮配置鏡像加速器。方法通常係修改 daemon.json 呢個配置文件,加入內地或者亞太區嘅加速器鏡像地址,之後重啟 Docker Daemon,再進行 pull 命令或者直接 docker run,速度就會有明顯改善。記住,加速器只影響鏡像拉取呢個下載過程,對容器運行本身冇影響。
最後,我哋用一個實際啲嘅例子貫穿返整個流程。假設我哋要建立一個 Apache Web Server 容器。我哋可以選擇分步做:首先,喺命令行輸入 docker pull httpd:alpine,拉取一個輕量版嘅 Apache 鏡像。拉取成功後,用 docker images 確認。然後,用一個更完整嘅 docker run 指令去啟動佢:docker run -d --name my_web -p 8080:80 httpd:alpine。呢度 -d 代表後台運行,--name 係幫容器起個名,-p 就係將宿主機嘅 8080 端口映射到容器內嘅 80 端口。執行呢句之後,一個活生生嘅 Docker Container 就已經喺度運行緊,你打開瀏覽器訪問 localhost:8080 就會見到 Apache 嘅默認頁面。成個過程,由鏡像下載到容器運行,一氣呵成,充分體現咗 Docker 拉取命令同運行鏡像之間無縫連動嘅強大威力。掌握呢個連動關係,你就能夠更加得心應手咁喺 Ubuntu 或者其他系統上利用 Docker 嚟部署同測試各種服務啦。
AboutCSDNProfessional illustrations
鏡像分層拉取原理解說
好喇,等我哋深入啲講下 Docker 鏡像分層拉取 呢個核心原理,你就會明點解 docker pull 可以咁快同慳位。簡單嚟講,一個 Docker Image 唔係一個巨大嘅單一檔案,而係由一層層(Layer)砌出嚟嘅,好似千層糕咁。每執行一個指令,例如喺 Dockerfile 入面寫 RUN apt-get update 或者 COPY . /app,Docker Engine 就會生成一個新嘅只讀層。當你用 docker pull 命令去 Docker Hub 或者其他 Registry 拉取一個 Ubuntu 鏡像時,Docker Daemon 唔係下載一個完整嘅大檔案,而係逐層去檢查同下載。
呢個過程係點運作呢?首先,當你喺 command line 打 docker pull ubuntu:latest,Docker Client 會同 Docker Daemon 溝通,然後 Daemon 就會去聯繫預設嘅 Container Registry(通常係 Docker Hub)。佢會先拎到一個叫做「清單(Manifest)」嘅檔案,呢個清單就記錄咗組成呢個 鏡像 嘅所有分層嘅識別碼(Digest)同埋佢哋嘅依賴關係。Daemon 會拎住呢個清單,對比你本地已經有嘅 本地倉庫 入面嘅層。如果某啲層(例如一個基礎嘅系統層)你之前拉取其他鏡像時已經下載過,咁呢啲層就會直接重用,完全唔使再下載,呢個就係 Docker 超級慳位同慳時間嘅秘訣。例如你已經有 ubuntu:22.04 嘅底層,再去拉一個基於佢嘅應用鏡像,就只需要下載應用新增嗰幾層。
分層結構仲有一個好處,就係 分層存儲。所有下載返嚟嘅鏡像層都會儲存喺你部機嘅特定目錄(例如用 overlay2 呢種存儲驅動程式管理)。當你用 docker run 去 運行鏡像 創建一個 容器 時,Docker Engine 會喺所有只讀層嘅最上面,加上一個薄薄嘅可寫層(Container Layer)。所有你喺 容器 運行時嘅修改,例如用 bash 寫入一個新檔案,或者用 apt 安裝多個軟件,都只會發生喺呢個可寫層,而唔會改動底下嘅原始鏡像層。咁樣保證咗鏡像嘅不可變性,同一個鏡像可以同時被幾十個 Docker Container 實例共用,安全又高效。
我哋可以舉個實際啲嘅例子。假設你想拉取一個 Apache HTTP Server 嘅 官方鏡像。呢個鏡像可能本身基於一個 Debian 或者 Alpine 嘅底層。當你第一次拉取時,所有層都要下載。但係之後,如果你公司另一個服務嘅鏡像都係用同一個 Debian 底層,咁你拉取第二個鏡像時就會飛快,因為底層已經喺度。呢個機制對於 CI/CD 流水線或者頻繁部署好有幫助。另外,因為鏡像係分層嘅,所以當鏡像提供者更新咗其中一層(例如只更新安全補丁),你下次 鏡像拉取 時,只需要下載有變動嗰幾層,而唔係成個幾 GB 嘅鏡像重新拉過,呢個就叫做「增量下載」。
當然,呢個過程嘅速度好大程度上取決於你同 Registry 之間嘅網絡。喺香港,如果直接連去海外嘅 Docker Hub,有時可能會覺得慢。所以,好多團隊會配置 鏡像加速器。你喺 daemon.json 檔案入面設定一個國內或者本地嘅鏡像加速站點,當你執行 拉取命令 時,Docker Daemon 就會去呢個加速站點拎分層,速度會快好多。呢個加速站點本質上就係一個 HTTP Service,幫你緩存(Cache)咗常用嘅鏡像層。記住,無論係拉取一個簡單嘅 hello-world 定係複雜嘅企業應用,背後都係行緊同一套分層拉取嘅邏輯。理解咗呢個原理,你對於點樣管理本地磁盤空間、點樣優化構建鏡像(盡量將不變嘅層放喺前面)都會有更深嘅掌握,唔會再覺得 Docker 嘅操作係個黑盒。
AboutbashProfessional illustrations
實戰:拉取並運行Web服務
好啦,講咗咁多理論,係時候落手落腳實戰一次,睇吓點樣用 docker pull 同 docker run 拉取同運行一個真正嘅 Web 服務,例如 Apache HTTP Server,而唔係齋玩 hello-world。呢個過程會將之前講嘅 Docker Hub、鏡像、容器 同 Docker Engine 點樣協作,一次過體現出嚟。
首先,我哋打開 command line,即係終端機。通常我哋會直接去 Docker Hub 嘅官方倉庫搵鏡像。你可以用 docker search apache 嚟睇吓有咩選擇,但穩陣起見,我會直接拉取官方維護嘅 Apache 鏡像。喺 2026 年嘅今日,官方鏡像嘅命名同標籤管理已經好成熟。要拉取最新版,我哋輸入嘅 拉取命令 好簡單:docker pull httpd。呢個命令會預設去 Docker Hub 嘅官方 Registry,拉取標籤為 "latest" 嘅 httpd 鏡像(即 Apache)。留意,httpd 就係個 倉庫名。拉取過程中,你部機嘅 Docker Daemon 就會開始同遠端倉庫溝通,然後將鏡像嘅 分層存儲 逐層下載落你嘅本地 本地倉庫。如果你喺香港,覺得 pull 得慢,記得檢查吓你個 daemon.json 有冇設定好內地或者亞太區嘅 鏡像加速器,咁樣 image download 速度會快好多。
拉取完成之後,你可以用 docker images 呢個指令嚟確認一下,個 httpd 鏡像係咪已經安坐喺你嘅系統入面。跟住落嚟就係戲肉:運行呢個 HTTP Service。我哋唔係淨係將個 鏡像 擺喺度,係要將佢變成一個運行中嘅 容器。運行嘅命令就係 docker run -d -p 8080:80 --name my-web-server httpd。等我拆解一下呢個 命令語法:-d 係讓個容器喺後台運行(detached mode),-p 8080:80 係做端口映射,將你宿主機(即係你部電腦)嘅 8080 端口,對應到容器內部 Apache 默認運行嘅 80 端口,而 --name 就係幫你個 Docker Container 改個易記嘅名,方便管理。最後嗰個 httpd,就係指明要用邊個 鏡像 嚟創建容器。
一按 Enter,Docker Engine 就會立即開工。佢會基於你剛拉取返嚟嘅 httpd 鏡像,創建一個新嘅、可寫寫嘅容器層(用緊 overlay2 呢類存儲驅動),啟動裏面嘅 Apache daemon,然後將個容器放喺後台運行。呢個時候,你即刻打開瀏覽器,輸入 http://localhost:8080,就會見到 Apache 嘅默認歡迎頁面,代表你嘅 Web 服務已經成功跑緊啦!想睇吓有咩容器運行緊,可以用 docker ps,你就會見到 my-web-server 呢個容器嘅狀態係 "Up",證明一切正常。
如果想深入啲同個容器互動,進行 交互式操作,你可以用 docker exec -it my-web-server bash 呢個指令。呢個指令會喺運行緊嘅容器裏面,開啟一個 bash container terminal 俾你。入到去,你可以好似操作一部輕量級 Ubuntu 系統咁(如果個鏡像係基於 Ubuntu 嘅話),睇吓 Apache 嘅設定檔、日誌等等,進行除錯或者自定義配置。例如,你可以去 /usr/local/apache2/htdocs/ 呢個路徑睇吓默認嘅網頁文件,甚至修改佢。呢種體驗,就係容器化嘅精髓——你唔使喺自己主機安裝 Apache,唔使搞亂個系統,但就可以有一個完整、獨立嘅環境去運行同測試個服務。
最後提多句,實戰時要留意 標籤 嘅運用。我哋頭先用嘅係默認 "latest" 標籤,但喺生產環境,最好指明特定版本標籤,例如 httpd:2.4.58,咁樣先可以確保環境一致性,唔會因為 latest 自動更新而出現意外。整個由 docker pull 到 docker run 嘅流程,就係 Docker 日常使用最核心嘅操作,熟練掌握之後,你就可以好快咁將各種應用服務,無論係數據庫、中間件定係自己寫嘅應用,通過 鏡像拉取 同 運行鏡像,快速部署起嚟。
AboutdaemonProfessional illustrations
進階:拉取策略優化設定
講到Docker pull,好多香港嘅師兄可能覺得,咪又係打條拉取命令,等佢自己image download完就搞掂。但係如果你係團隊協作,或者成日要部署大型應用,就會發現呢個基本操作其實有好多優化空間。所謂進階:拉取策略優化設定,就係要幫你慳時間、慳頻寬,甚至提升安全性,等個Docker Engine拉取鏡像時更加聰明同高效。
首先,你要明白Docker Daemon嘅默認行為。當你喺命令列打docker pull ubuntu,佢會去Docker Hub呢個默認嘅container registry搵最新版(latest tag)嘅Ubuntu鏡像。呢個過程涉及分層存儲嘅概念,每個鏡像由多層組成,如果本地已經有某啲層,就會跳過唔使再拉,呢個設計本身已經好慳位。但問題在於,如果唔指定標籤,或者個鏡像成日更新,你好難控制拉返嚟嘅版本係咪穩定。所以第一個優化點,就係永遠避免使用 latest 標籤。你應該明確指定版本,例如 docker pull ubuntu:22.04,咁樣先可以確保開發、測試同生產環境嘅一致性,唔會因為鏡像內容突然變咗而「中伏」。
跟住落嚟,就要深入設定檔daemon.json。呢個檔案係控制Docker Daemon行為嘅核心,位置通常喺 /etc/docker/ 下面。透過修改呢個檔案,你可以做幾件大事。第一件,就係設定鏡像加速器。因為默認連去Docker Hub,喺內地或者某啲網絡環境下可能會好慢,甚至 timeout。你可以加入國內或者亞太區嘅鏡像加速站點,例如阿里雲、騰訊雲提供嘅加速器。設定之後,當你拉取官方鏡像時,Docker Engine會自動經由加速站點去攞,速度會有明顯提升。呢個對於經常要拉取大型鏡像,例如成日整Apache或者HTTP Service嘅環境,真係必做設定。
第二個可以喺daemon.json設定嘅,就係拉取策略。雖然Docker本身無一個叫 pull policy 嘅獨立設定,但佢嘅行為同 docker run 指令息息相關。例如,你可以設定預設嘅鏡像拉取行為。不過,更重要嘅係理解 docker run 時用 --pull 參數。例如 docker run --pull=always my-image,咁樣會強制每次運行前都檢查同拉取最新版本,適合需要絕對最新嘅測試環境。相反,--pull=missing 就係默認行為,只有本地冇呢個鏡像時先拉。而 --pull=never 就完全信賴本地倉庫,唔會上網檢查,適合完全離線或者嚴格版本控制嘅環境。識得因應場景運用呢啲參數,已經係好基本嘅優化。
另一個香港開發者可能忽略嘅點,係本地倉庫嘅管理。你知唔知,每次 docker pull 返嚟嘅鏡像,都會儲存喺本地,日積月累會食咗你好多硬碟空間。你可以用 docker images 命令檢查,再用 docker image prune 清理唔用嘅鏡像。但更高階嘅做法,係考慮使用私有嘅 Registry,例如 Docker 官方嘅 Registry 或者 Harbor。你可以將團隊常用嘅基礎鏡像(例如一個裝好晒特定套件嘅Ubuntu)拉取一次,然後 push 去自己公司嘅私有 Registry。之後,所有團隊成員就從呢個內部 Registry 拉取,速度極快之餘,亦確保咗大家用緊完全相同嘅基礎環境,減少「我部機行到,你部機行唔到」嘅問題。呢個做法特別適合企業同埋需要高度一致嘅CI/CD流程。
最後,講少少網絡同安全層面嘅優化。當你拉取鏡像時,預設係用 HTTPS,但有啲內部私有 Registry 可能只用 HTTP。你就要喺daemon.json裡面設定 insecure-registries 呢個參數,先可以成功拉取。不過要小心,呢個會帶來安全風險,只應該用喺完全可信嘅內部網絡。另外,如果你發現拉取鏡像時好慢,除咗用加速器,亦可以檢查下係唔係Docker Daemon嘅 DNS 設定有問題。有時改咗 DNS server,拉取速度會有奇效。你可以喺daemon.json用 dns 呢個 key 去設定偏好嘅 DNS 伺服器。
總而言之,優化docker pull唔單止係打條命令咁簡單。由指定明確版本、設定daemon.json、運用鏡像加速器、管理好本地倉庫,到理解唔同嘅拉取策略同網絡設定,每一步都可以幫你節省寶貴嘅開發同部署時間。尤其係而家去到2026年,容器技術更加成熟,鏡像體積可能更大,協作環境更複雜,花少少時間設定好呢啲進階選項,長遠嚟講絕對係值得嘅投資。下次你喺container terminal打 docker pull 之前,不妨諗下,係咪可以有更聰明、更快速嘅方法呢?